Malware
Neue Mirai Variante für vernetzte Geräte
Eine neue Mirai-Variante verwendet zum ersten Mal 13 Exploits in Kombination.
Originalartikel von Augusto Remillano II und Jakub Urbanec
Eine neue Mirai-Variante (Backdoor.Linux.MIRAI.VWIPT) nutzt derzeit 13 verschiedene Exploits, von denen die meisten bereits in früheren Mirai-bezogenen Angriffen zum Einsatz kamen. Doch die aktuelle Kampagne verwendet zum ersten Mal alle 13 Exploits zusammen. Sie nutzen Lücken in Routern, Überwachungskameras und anderen Geräten aus. Dieser Angriff erfolgt nur einige Wochen, nachdem Trend Micro zuletzt über Mirai-Aktivitäten berichtete, als der Schädling unterschiedliche Router im Visier hatte. Einige der dort eingesetzten Exploits sind auch in dieser Variante vorhanden.
Die ersten Erkenntnisse über die neue Variante erhielten die Sicherheitsforscher von einem ihrer Honeypots, die auf Angriffe auf das Internet of Things ausgelegt sind. Es zeigte sich, dass der Schädling verschiedene Mittel der Verbreitung einsetzt sowie drei XOR-Schlüssel für die Datenverschlüsselung. Auch fanden die Forscher verschiedene URLs, wobei die erste auf der Liste als Command-and-Control (C&C)-Link fungiert und die anderen als Download- und Dropper-Links. Die weitere Analyse des Codes zeigte auch, wie die Verbreitungswege aussehen und wie die verschiedenen Exploits genutzt werden. Neben der Verbreitung über Sicherheitslücken besitzt die Mirai-Variante zudem Brute Force-Fähigkeiten. Weitere technische Details liefert der Originalbeitrag.
Fazit und Sicherheitsempfehlungen
Die Angreifer könnten einfach den Code aus anderen Attacken mit den Exploits kopiert haben. Auch könnte die Wahl der Exploits auf dem Wissen beruhen, dass viele betroffene Geräte weit verbreitet sind und dass viele Nutzer die veröffentlichten Patches noch nicht aufgespielt haben – das alles ist reine Spekulation zu den Motiven hinter der Kampagne.
Doch können sich Anwender schützen, indem sie die entsprechenden Patches und Updates für vorhandene Sicherheitslücken anbringen. Auch sollten sie sorgfältig auswählen, welche Produkte sie in ihr Netzwerk einbinden, wobei auch die vom Hersteller zur Verfügung gestellte Sicherheit eine Rolle spielen sollte.
Trend Micro-Lösungen
Trend Micro Smart Home Network bietet eine embedded Netzwerksicherheitslösung, die alle Geräte in einem Home-Netzwerk gegen Cyberangriffe schützt. Die Lösung bietet Deep Packet Inspection (DPI)-Technologie, Intelligent Quality of Service (iQoS), Kindersicherung, Netzwerk Security und mehr. Trend Micro-Kunden sind vor den Exploits durch entsprechende Regeln im Produkt geschützt.
Trend Micro™ Deep Discovery™ bietet Erkennung, tiefgehende Analysen und proaktive Reaktionsmöglichkeiten auf Angriffe mit Exploits oder ähnlichen Bedrohungen. Dazu setzt die Lösung auf spezialisierte Engines, benutzerdefiniertes Sandboxing sowie nahtlose Korrelation über den gesamten Lebenszyklus des Angriffs hinweg. Auf diese Weise lassen sich Angriffe auch ohne Engine oder Pattern-Updates erkennen.
Die Lösungen werden von Trend Micro XGen™ Security unterstützt, eine generationsübergreifende Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern. Trend Micro ™ Deep Discovery ™ Inspector schützt die Kunden durch folgende Regeln:
- 2385: SOAP RCE EXPLOIT – HTTP (Request)
- 2485: CCTV-DVR Remote Code Execution – HTTP (Request)
- 2543: VACRON Remote Code Execution Exploit – HTTP (Request)
- 2547: NETGEAR DGN1000/DGN2200 Remote Code Execution – HTTP (Request)
- 2548: LINKSYS Remote Code Execution – HTTP (Request)
- 2575: Command Injection via UPnP SOAP Interface – HTTP (Request)
- 2630: HNAP1 Remote Code Execution Exploit – HTTP (Request)
- 2639: CVE-2018-10562 – GPON Remote Code Execution – HTTP (Request)
- 2786: ThinkPHP 5x Remote Code Execution – HTTP (Request)
Der Originalbeitrag beinhaltet zudem Indicators of Compromise (IoCs) sowie zugehörige bösartigen URLs.